RITA 是一个用于检测C2通信流量的开源项目,由GO语言编写
2、基础配置
1.下载安装脚本
https://github.com/activecm/rita/releases
添加可执行权限
chmod +x install.sh
./install.sh
根据网络情况,等待很久以后安装成功
2.操作命令
clean, clean-databases 清除数据库
delete, delete-database 删除导入的数据库
import 导入zeek日志到数据库
html-report 创建HTML审计报告
show-beacons-proxy 显示主机连接beacons代理
show-beacons-sni Print hosts which show signs of C2 software (SNI Analysis)
show-beacons Print hosts which show signs of C2 software
show-bl-hostnames Print blacklisted hostnames which received connections
show-bl-source-ips Print blacklisted IPs which initiated connections
show-bl-dest-ips Print blacklisted IPs which received connections
list, show-databases Print the databases currently stored
show-exploded-dns Print dns analysis. Exposes covert dns channels
show-long-connections Print long connections and relevant information
show-open-connections Print open connections and relevant information
show-strobes Print strobe information
show-useragents Print user agent information
test-config Check the configuration file for validity
help, h Shows a list of commands or help for one command3.测试是否正常
rita test-config
4.导入测试数据
rita需要导入zeek日志信息
rita import /opt/labs/lab1 lab1
5.查看导入的数据
rita list
6.删除导入的数据
rita delete lab3
2、日志分析
1.查看网络长链接
一般长连接最多不超过5个小时,如果超过5个小时的长链接就属于比较可疑,可以看到有2个连接已经超过23小时了,并且因为导入的日志没有记录完整的从连接开始到连接结束的过程,所有会在后面的服务显示-
rita show-long-connections -H lab1
2.查看连接中的长连接
rita show-open-connections -H lab1 | less -S3.查看Beacon
根据作者建议评分大于0.8以上需要重点进行关注
rita show-beacons lab1 -H
3.查看Beacon代理
Beacon代理模块的几乎所有方面都与Beacon模块相同, 除了Beacon代理模块旨在提供请求的实际目的地 (而不仅仅是代理服务器信息) 并在利用一个或多个代理服务器与互联网通信的环境中运行。
由于使用代理服务器的数据限制, Beacon代理模块目前仅支持对 HTTP/HTTPS 请求进行分析.Beacon代理模块的功能将在很大程度上取决于环境的代理配置和数据传感器的放置。
rita show-beacons-proxy lab1 -H
4.查看Beacon SNI
原始Beacon FQDN 功能使用 DNS 信息来识别目标系统。假设攻击者使用 DNS 轮循机制在多个命令和控制 (C2) 服务器之间进行负载平衡。如果我只检查两个特定源和目标 IP 地址之间的Beacon,可能会错过负载平衡的 C2 服务器,因为只能看到会话的一部分。这是因为 C2 流量的另一部分将流向不同的目标 IP 地址。通过以目标 FQDN 而不是单个 IP 为目标,可以将这些多个会话绑定在一起,以便可以分析 C2 流量的完整视图。
Beacon FQDN 效果很好,攻击者位于 Akamai、CloudFront 等内容交付网络 (CDN) 后面。这里的挑战是合法服务可能使用与攻击者相同的CDN系统。Beacon FQDN尝试使用查询发生的时间来解决冲突,但由于 DNS 缓存,这可能并不总是准确的。因此,对于CDN网络,Beacon FQDN仍将多个目标 IP 地址绑定到一个目标中,但由于使用这些相同系统的合法服务器,可能会出现错误。
这就是Beacon SNI介入的地方.Beacon SNI使用数据流中的应用层信息来识别目标系统。由于这是 CDN 服务器用于转发流量的相同数据,因此它必须是准确的。这允许信标 SNI 功能区分使用同一组 CDN 服务器的多个服务.
由于CDN依靠如下信息来正确转发流量,Rita通过信息进行检测
对于 HTTP 流量,使用"Host"参数
对于HTTPS流量,SNI或服务器名称的使用方式
rita show-beacons-sni lab1 -H | less -S由于展示的日志比较长,可以通过键盘上的左右箭头进行调整
5.查看访问UA
rita show-useragents lab1 -H
6.查看DNS记录
通过查看DNS记录信息发现访问同一个域名地址,但是域名的三级名称不一样,看着比较随机,大概率是DNS隧道
rita show-exploded-dns lab2 -H | less -S
原文始发于微信公众号(安全孺子牛):使用Rita检测C2隧道
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论